陌生人在我身边坐了几秒,然后就复制了我的车钥匙,偷走了我的特斯拉——这样的场景不是科幻大片,而是现实中被曝出的汽车安全致命漏洞。
近日,一位比利时鲁汶大学的安全研究人员展示了特斯拉Model X无钥匙进入系统中存在的严重漏洞,在短时间内,黑客可以利用硬件设备通过漏洞重写车辆钥匙的固件,提取一个无线电码,解锁车主的Model X,而一旦窃车者进入车内,特斯拉的又一个明显漏洞将允许窃贼在仅仅一分钟左右就将自己的假钥匙卡与真正车主的汽车配对,并将车开走。
特斯拉是目前技术含量最高的汽车之一,Model X更是特斯拉的高端车型,售价达80-90万元,而此次的攻击实验中,实施偷车计划所需的硬件套件仅仅花费约2000元,整个偷车过程不过短短90秒。这样轻而易举就被盗走,不禁令人对智能汽车的安全性产生了担忧。
那么造成被盗的原因主要是什么?有没有可靠的解决方案来保障汽车安全?这应该是目前大众最为关注的两个问题。分析来看,特斯拉主要的问题有:其一,车载信息交互系统工程模式防护不足,导致被入侵修改;其二,数字车钥匙与服务端的通信是明文通信,没有进行加密,因此通信内容易被拦截,其缺乏完整的PIN码校验机制和身份安全认证机制,导致攻击者可将数据进行篡改;其三,车内的通信流量隔离机制薄弱,导致车辆可被逆向解析进行控制;其四,即蓝牙钥匙存在被复制的风险,其指令可被拦截、重放,造成车辆被非法解锁。
特斯拉所存在的漏洞反映出现阶段智能汽车可能普遍面临的一些安全风险,但这些问题并非难以解决,以国内电子信息安全领域领军企业紫光国微的安全方案为例,其具备数字车钥匙全生命周期的安全防护策略,包括数据准备、钥匙生成、钥匙下发、钥匙存储、钥匙使用、钥匙失效、钥匙销毁一系列防护措施,比如密钥通过安全芯片完成硬加密存储、对外通信数据脱密处理、通信双向认证、钥匙销毁时进行物理数据删除等等,每一环节中都含有复杂的安全技术,以抵御各类侵入与非侵入式攻击,防嗅探,防篡改重放,从而保障车联网服务和应用的安全性。紫光国微方案中所采用的安全芯片,不仅通过国际SOGIS CC EAL6+安全认证,也同时通过了AEC-Q100车规认证,经受了全球范围内严苛的专业安全测试,其安全防护能力也为智能互联汽车提供了更加可靠的保障。
随着汽车的智能化发展,计算机与网络技术在驾驶中扮演的角色越来越重要,对于未来的驾驶系统安全问题,汽车厂商必须给予更高的重视,构筑全方位的安全屏障。在影片《速度与激情8》中,黑客通过攻击汽车的系统进行远程操控,在纽约街头制造了一场“万车齐驱”的惨案,我们希望这样的场景,永远只停留在电影里,希望信息科技在为我们带来智能体验的同时,也进一步保障智慧生活的可靠安全。